Le Test de vérification des mots de passe piratés (Breached Password Test, BPT) est un outil gratuit qui analyse les comptes de votre Active Directory (AD) à la recherche de divers types de vulnérabilités. BPT vérifie si des adresses courriel utilisateur associées à votre domaine ont été impliquées dans de précédentes violations d’authentifiants et si des comptes AD utilisent actuellement des mots de passe qui ont fait l’objet de ces violations d’authentifiants. L’utilisation du test permettra de sensibiliser davantage votre organisation en vous indiquant si vous êtes vulnérable à une attaque liée à des mots de passe.

Pourquoi utiliser le Test de vérification des mots de passe piratés?

La plupart des gens réutilisent souvent les mêmes mots de passe pour plusieurs comptes. Généralement, ils n’ont pas conscience d’avoir été impliqués dans des violations. Ils ne prennent donc pas de mesures adaptées, comme de changer l’ensemble de leurs mots de passe pour leurs comptes en ligne.

Une fois qu’une violation a eu lieu et que des authentifiants ont été compromis, les pirates peuvent facilement les trouver et les utiliser pour usurper l’identité des utilisateurs affectés. Ils essaieront aussi d’utiliser les mots de passe volés avec tous les comptes de votre domaine, augmentant ainsi leurs chances de réussir leur intrusion.

De nouvelles violations se produisant chaque jour, utilisez cet outil en plus des mesures de sécurité en place afin de réduire les risques que les violations de données font peser sur votre organisation. Nous recommandons d’utiliser cet outil au moins une fois par mois.

Comment fonctionne cet outil?

Le Test de vérification des mots de passe piratés se connecte à votre AD pour y extraire votre ou vos domaines, ainsi que la table des mots de passe contenant les mots de passe hachés et un algorithme de chiffrement. L’outil analyse ensuite votre domaine et les mots de passe, et les compare à la base de données issues des violations qui contiennent au-delà d’un milliard de mots de passe compromis.

Mes informations sont-elles en sécurité?

Oui. Il est important de savoir que cet outil n’affichera jamais et ne divulguera jamais les véritables mots de passe des comptes utilisateur de votre AD, pas plus qu’il n’affichera ni ne produira de rapports sur les authentifiants qui étaient en cours d’utilisation au moment de la violation de données associée à votre domaine. Les mots de passe de votre AD sont hachés et ne seront jamais visibles. Les résultats du test identifient les comptes utilisant des mots de passe vulnérables. Il vous reviendra de remédier à la situation.

Lors de l’utilisation de cet outil, aucune donnée confidentielle ne quittera votre réseau. Seuls le ou les domaines de votre AD sont transférés aux fins du test. Les informations obtenues pendant le test sont enregistrées dans la mémoire locale, non pas sur le disque.

Exigences système et conditions préalables

Exigences système

Pour exécuter le Test de vérification des mots de passe piratés, le système que vous utilisez doit répondre aux exigences suivantes :

• Windows 10 ou version plus récente (32 ou 64 bits), Windows Server 2016 ou version plus récente
• Active Directory (AD), sur Windows Server 2008 R2 ou version plus récente
• Capacité d’accès au contrôleur de domaine
• Accès Internet
• .NET Framework 4.7.2 (sera installé si nécessaire)
• Au moins deux processeurs
• Au moins 2 Go de RAM
• Au moins 1 Go d’espace sur le disque dur (HDD), disponible sur le lecteur système
• Contrôle du compte utilisateur (UAC) activé

Nous vous recommandons d’effectuer ce test sur un autre système que celui du contrôleur de domaine, car le processus d’analyse peut temporairement générer une utilisation du CPU et un trafic réseau importants.

Conditions préalables

Pour l’installation, vous aurez besoin des informations suivantes :

1. Une clé de licence, qui vous sera envoyée par courriel lors de votre inscription au test
2. Le nom de domaine de votre AD, par exemple MonDomaine.com ou MonDomaine.local
3. Le nom de votre contrôleur de domaine
4. Les authentifiants de connexion à votre AD
   • L’article suivant vous indiquera comment accorder rapidement les autorisations requises à votre compte, dans votre AD : Comment accorder l’autorisation « Réplication des modifications d’annuaire »Comment accorder l’autorisation « Réplication des modifications d’annuaire » (le lien s’ouvre dans une nouvelle fenêtre)
   • Un administrateur de domaine n’a pas l’autorisation d’accéder à ces informations par défaut. L’utilisation de l’outil avec un compte d’administrateur de domaine ne vous permettra pas nécessairement de garantir le succès du test.
   • Nous vous recommandons fortement de créer un nouveau compte ayant ces autorisations dans AD, afin d’exécuter ce test. Une fois le test terminé, vous devrez supprimer ce nouveau compte conformément au principe du moindre privilège.

   • Pourquoi créer un nouveau compte? Créer un nouveau compte vous permettra rétroactivement de retrouver facilement certaines informations concernant le test, comme le moment où il a eu lieu et le compte qui a permis d’accéder aux informations. Il est également plus facile de supprimer ces autorisations une fois le test exécuté, puisque vous n’aurez qu’à supprimer le compte utilisateur nouvellement ajouté.

     Important :Pour que l’exécution du test soit réussie, les authentifiants que vous utilisez pour le Test de vérification des mots de passe piratés afin de vous connecter à AD doivent détenir les autorisations de Réplication des modifications du répertoire et de Réplication de toutes les modifications du répertoire. Ces autorisations vous permettent d’obtenir une copie de votre table de mots de passe pour l’analyse.

Installation et configuration

Pour installer et configurer le Test de vérification des mots de passe piratés, suivez les instructions ci-dessous :

1. Accédez à https://www.knowbe4.com/breached-password-test https://www.knowbe4.com/breached-password-test (le lien s’ouvre dans une nouvelle fenêtre).

2. Remplissez le formulaire Sign up for your Free Test (Inscrivez-vous pour votre test gratuit), puis cliquez sur Download Now! (Télécharger maintenant!). Nous vous enverrons ensuite un courriel avec la clé de licence unique dont vous aurez besoin pour effectuer le test.

   

3. Dans la page de remerciement du Test de vérification des mots de passe piratés, téléchargez le fichier d’installation .EXE.

   Remarque : Vous pouvez également installer le fichier Checksum facultatif.

4. Double-cliquez sur le fichier téléchargé pour ouvrir l’assistant d’installation du Test de vérification des mots de passe piratés de KnowBe4. Cliquez sur Yes (Oui) lorsque l’on vous demande d’autoriser le programme à apporter des modifications à votre ordinateur.

   

5. Prenez connaissance du contrat de licence et acceptez-le. Puis, cliquez sur Install (Installer) pour exécuter l’assistant d’installation.

   

6. Suivez les instructions de l’assistant d’installation et cliquez sur Next (Suivant) lorsque vous y êtes invité. Puis, cliquez sur Finish (Terminer) pour terminer l’installation. Le Test de vérification des mots de passe piratés sera automatiquement enregistré sur votre bureau. Si vous avez coché la case Lancer le Test de vérification des mots de passe piratés de KnowBe4, l’outil s’ouvrira automatiquement.

   

7. À l’ouverture du Test de vérification des mots de passe piratés, une fenêtre contextuelle apparaîtra dans la fenêtre principale pour vous permettre de saisir les informations sur la licence. Dans le champ License Key (Clé de licence) de la fenêtre contextuelle, saisissez la clé de licence unique qui vous a été envoyée par courriel à l’adresse utilisée pour votre inscription. Puis, cliquez sur OK pour retourner à la fenêtre principale.

   

8. Dans le premier champ Active Directory Details (Informations Active Directory), saisissez le nom DNS de votre Active Directory (AD). Par exemple, mondomaine.com ou mondomaine.local.

   

9. Dans le deuxième champ Active Directory Details, saisissez le nom de votre contrôleur de domaine. Par exemple, DC1.

   Remarque :Vous pouvez également saisir son adresse IP, mais nous vous recommandons plutôt d’utiliser son nom pour des questions de fiabilité et pour assurer le bon fonctionnement des connexions sécurisées en cas de modification de votre réseau.

10. Dans le premier champ Credentials (Authentifiants), saisissez le nom d’utilisateur du compte que vous avez créé.

    Remarque : Ce compte doit avoir les autorisations de Réplication des modifications d’annuaire et de Réplication de toutes les modifications d’annuaire. Vous pouvez également cocher la case Use current logged on user (Utiliser l’utilisateur actuellement connecté) pour utiliser les authentifiants du compte avec lequel vous êtes actuellement connecté.
11. Dans le deuxième champ Credentials, saisissez le mot de passe du compte que vous avez créé.
12. Cliquez sur Start Test (Commencer le test) pour lancer le test.

Le test analyse d’abord les domaines de votre AD, pour vérifier s’ils ont fait l’objet de violations de données. Il compare ensuite les mots de passe actuels de votre AD avec les mots de passe trouvés dans les violations de données dont le ou les utilisateurs de votre domaine ont fait l’objet. Ce processus prend généralement moins d’une minute, mais pourrait se prolonger en fonction des performances de votre Active Directory et de votre poste de travail.

Vos résultats s’afficheront à l’écran dès que le test sera terminé.

Analyser vos résultats

Les résultats du test de vérification des mots de passe piratés vous indiquent si des comptes qui utilisent le domaine de votre organisation ont fait l’objet d’une violation. Ils vous indiquent aussi si les mots de passe associés aux comptes ayant fait l’objet d’une violation sont actuellement utilisés par les comptes de votre AD. Notez que les comptes AD désactivés ne sont pas inclus dans l’analyse du BPT.

Vos résultats de test généreront l’un des trois scénarios suivants :

Scénario 1 : « Bonne nouvelle! Aucun de vos domaines n’a été trouvé dans la liste actuelle de violations. »

Si les résultats du Test de vérification des mots de passe piratés génèrent ce message, cela signifie que le test a analysé le ou les domaines de votre AD et qu’il n’y a trouvé aucune correspondance entre les comptes utilisant votre domaine et les comptes de la base de données de mots de passe piratés.

Assurez-vous d’exécuter ce test une fois par semaine ou une fois par mois, car de nouvelles données issues de violations sont ajoutées régulièrement.

Scénario 2 : « XX mot(s) de passe associé(s) à votre domaine a(ont) fait l’objet d’une violation. Aucun de ces mots de passe ne se trouve actuellement dans votre Active Directory. »

Si vous obtenez ce message à l’issue du test de vérification des mots de passe piratés, cela signifie qu’au moins un de vos domaines a été impliqué dans une violation. Cependant, le ou les mots de passe associés à ces comptes lors des violations de données ne sont pas en cours d’utilisation dans votre AD.

Ce résultat est correct, mais les utilisateurs ont tendance à réutiliser leurs anciens mots de passe. Assurez-vous d’exécuter ce test régulièrement afin de limiter proactivement ce type de vulnérabilité. Nous recommandons d’inscrire vos utilisateurs à une formation sur la sensibilisation à la sécurité, car les personnes ayant été impliquées dans des violations de données ont plus de chance d’être la cible de piratage psychologique ou de harponnage.

Scénario 3 : « XX compte(s) utilise(nt) actuellement un(des) mot(s) de passe piraté(s). « XX mot(s) de passe de votre domaine a(ont) fait l’objet d’une violation. »

Si vous obtenez ce message, vous devez prendre des mesures concernant les comptes affectés. L’interface énumère les comptes Active Directory vulnérables qui utilisent des mots de passe divulgués lors d’une violation. Les criminels peuvent facilement trouver les mots de passe et les utiliser à l’encontre de vos utilisateurs, augmentant la vulnérabilité de votre organisation à une intrusion.

Nous recommandons vivement aux utilisateurs concernés de modifier leur mot de passe dès que possible. Après avoir remédié à la situation, puisque les utilisateurs ont tendance à réutiliser d’anciens mots de passe, intégrez le Test de vérification des mots de passe piratés dans vos contrôles de sécurité et exécutez-le régulièrement.

Exporter vos résultats

Vous pouvez voir les résultats à l’écran instantanément, mais vous pouvez aussi les télécharger sur votre disque dans une feuille de calcul Excel (.xlsx) ou au format PDF. Si vous prévoyez de réexécuter le test, vous devriez enregistrer les résultats.

Pour enregistrer les résultats, cliquez sur Export to Excel (Exporter au format Excel) ou sur Export to PDF (Exporter au format PDF). Une invite apparaîtra pour vous permettre de nommer votre fichier et de choisir l’emplacement où il sera enregistré.

Foire aux questions (FAQ)

1. Puis-je voir les mots de passe piratés?

   Non, les mots de passe sont hachés et ne peuvent pas être affichés.

2. Des fichiers de journalisation sont-ils générés pendant le test?

   Oui, un fichier de journalisation est créé la première fois que vous exécutez le Test de vérification des mots de passe piratés. Le fichier se trouve à l’endroit suivant : C:\Program Data\KnowBe4\Breached Password Test.

3. J’ai reçu un message d’erreur et le test ne s’est pas exécuté. Que dois-je faire?

   Si vous recevez un message d’erreur et que le test ne s’est pas terminé, consultez le tableau ci-dessous pour comprendre ce qui a pu se produire.

   Message d’erreur	Problème
   Le compte Active Directory que vous utilisez pour exécuter le test ne dispose pas de l’autorisation de « Réplication des modifications d’annuaire ». Veuillez vérifier les conditions préalables de notre manuel référencé ci-dessous.	Le compte que vous utilisez pour le test ne dispose pas des autorisations nécessaires. Assurez-vous que le compte que vous avez créé dispose des autorisations de « Réplication des modifications d’annuaire » ET de « Réplication de toutes les modifications d’annuaire ». Voir ci-dessus.
   Impossible d’exécuter le test, car le nom d’utilisateur et/ou le mot de passe ne sont pas valides. Veuillez vérifier vos authentifiants et essayer d’exécuter le test à nouveau.	Nous n’avons pas pu nous connecter à votre AD à l’aide des authentifiants que vous avez fournis. Veuillez vérifier votre nom d’utilisateur et votre mot de passe et essayer d’exécuter le test à nouveau.
   Le serveur n’est pas disponible. Veuillez vérifier le nom DNS et essayer d’exécuter le test à nouveau.	Cette erreur signifie que le nom DNS est incorrect ou qu’il est mal formaté. Assurez-vous d’utiliser le format « mondomaine.com » ou « mondomaine.local », puis essayez d’exécuter le test à nouveau.
   Le serveur n’est pas disponible. Veuillez vérifier votre contrôleur de domaine et essayer d’exécuter le test à nouveau.	Cette erreur signifie que le nom ou l’adresse IP de votre contrôleur de domaine est incorrect, ou que le contrôleur de domaine est inatteignable. Vérifiez le nom et l’adresse IP du contrôleur de domaine, puis tentez d’exécuter le test à nouveau.
   La validation de la licence a échoué.	Cette erreur témoigne probablement d’une des deux situations suivantes : a) la clé de licence que vous utilisez est invalide ou b) vous tentez de valider une clé de licence par le biais d’un mandataire, ce qui provoque l’échec. Si l’erreur est due à un mandataire, autorisez simplement les connexions à ce domaine dans les paramètres du mandataire pour autoriser la validation de votre clé de licence : https://bpt.knowbe4.com/*

4. Puis-je exécuter ce test si j’utilise Azure AD?

   Non, cet outil ne fonctionne qu’avec une version locale d’AD.

5. Mon antivirus a identifié le test comme étant dangereux. Qu’en est-il?

   Non, ce n’est pas dangereux. Le comportement du Test de vérification des mots de passe piratés peut ressembler à celui d’un outil de piratage de mots de passe, c’est pourquoi votre antivirus peut l’identifier comme un danger potentiel.

6. Plusieurs utilisateurs ont des mots de passe piratés. Que dois-je faire?

   Avant tout, vos utilisateurs doivent modifier leurs mots de passe immédiatement.

   Ensuite, éduquez vos utilisateurs au sujet des bonnes pratiques en matière de mots de passe grâce à la formation sur la sensibilisation à la sécurité, et rappelez-leur fréquemment ces bonnes pratiques. Il est important de rappeler à vos utilisateurs de ne pas réutiliser un même mot de passe pour plusieurs comptes. KnowBe4 propose différents cours sur les bonnes pratiques en matière de mots de passe, que vous pouvez utiliser pour former vos utilisateurs.

   Bien que nous ne puissions pas vous indiquer de quelle manière éviter les vulnérabilités liées aux mots de passe dans votre organisation, nous pouvons vous orienter vers d’excellentes ressources qui vous aideront à le faire.

   • TechNet : Configurer les stratégies de mots de passe Configurer les stratégies de mots de passe (le lien s’ouvre dans une nouvelle fenêtre) (en anglais)
   • TechNet : Pratiques exemplaires d’application des stratégies en matière de mots de passe Pratiques exemplaires d’application des stratégies en matière de mots de passe (le lien s’ouvre dans une nouvelle fenêtre) (en anglais)
   • Microsoft : Recommandations en matière de mots de passe (PDF à télécharger) Recommandations en matière de mots de passe (PDF à télécharger) (le lien s’ouvre dans une nouvelle fenêtre) (en anglais)

7. D’où viennent les données issues des violations? Puis-je les consulter?

   Les données utilisées pour le Test de vérification des mots de passe piratés proviennent de nos recherches d’informations publiques sur les violations de données. Pour des raisons de sécurité et de confidentialité, la base de données du Test de vérification des mots de passe piratés est une information exclusive. KnowBe4 s’est également associé à Spycloud afin de rechercher les violations passées. Spycloud est une ressource en ligne réputée qui permet aux utilisateurs de rechercher leur adresse courriel pour vérifier si leurs informations ont été compromises lors de précédentes violations de données.

8. Est-il possible de savoir quels sont les utilisateurs dont les informations ont été divulguées?

   Pour des raisons de sécurité et de confidentialité, le Test de vérification des mots de passe piratés ne peut fournir d’informations sur les comptes initialement piratés associés à votre domaine. Cependant, si vous vous inscrivez vous vous inscrivez (le lien s’ouvre dans une nouvelle fenêtre)à EEC Pro ou si vous vérifiez vos résultats, vous trouverez peut-être davantage d’informations sur les violations spécifiques ayant impliqué vos utilisateurs.